VPN的典型隧道協(xié)議

1、 VPN的典型隧道協(xié)議隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負載）可以是不同協(xié)議的數(shù)據(jù)楨（此字不正確）或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)楨或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。被封裝的數(shù)據(jù)包在隧道的兩個端點之間通過公共互聯(lián)網(wǎng)絡(luò)進行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時所經(jīng)過的邏輯路徑稱為隧道一旦到達網(wǎng)絡(luò)終點，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。注意隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程1、點對點隧道協(xié)議（PPTP）點對點隧道協(xié)議（PPTP,Point-to-pointTunne

2、lingProtocol）是一種用于讓遠程用戶撥號連接到本地ISP,通過因特網(wǎng)安全遠程訪問公司網(wǎng)絡(luò)資源的新型技術(shù)。PPTP對PPP協(xié)議本身并沒有做任何修改，只是使用PPP撥號連接，然后獲取這些PPP包，并把它們封裝進GRE頭中。PPTP使用PPP協(xié)議的PAP或CHAP（MS-CHAP）進行認證，另外也支持Microsoft公司的點到點加密技術(shù)（MPPE）。PPTP支持的是一種客戶-LAN型隧道的VPN實現(xiàn)。傳統(tǒng)網(wǎng)絡(luò)接入服務(wù)器（NAS）執(zhí)行以下功能：它是PSTN或ISDN的本地接口，控制著外部的MODEM或終端適配器：它是PPP鏈路控制協(xié)議會話的邏輯終點；它是PPP認證協(xié)議的執(zhí)行者；它為PPP多

3、鏈路由協(xié)議進行信道匯聚管理；它是各種PPP網(wǎng)絡(luò)控制協(xié)議的邏輯終點。PPTP協(xié)議將上述功能分解成由兩部分即PAC（PPTP接入集中器）和PNS（PPTP網(wǎng)絡(luò)服務(wù)器）來分別執(zhí)行。這樣一來，撥號PPP鏈路的終點就延伸至PNS。PPTP協(xié)議正是利用了“NAS功能的分解”這樣的機制支持在因特網(wǎng)上的VPN實現(xiàn)。ISP的NAS將執(zhí)行PPTP協(xié)議中指定的PAC的功能。而企業(yè)VPN中心服務(wù)器將執(zhí)行PNS的功能，通過PPTP，遠程擁護首先撥號到本地ISP的NAS,訪問企業(yè)的網(wǎng)絡(luò)和應(yīng)用，而不再需要直接撥號至企業(yè)的網(wǎng)絡(luò)，這樣，由GRE將PPP報文封裝成IP報文就可以在PACPNS之間經(jīng)由因特網(wǎng)傳遞，即在PAC和PNS

4、之間為用戶的PPP會話建立一條PPTP隧道。建立PPTP連接，首先需要建立客戶端與本地ISP的PPP連接。一旦成功的接入因特網(wǎng)，下一步就是建立PPTP連接。從最頂端PPP客戶端、PAC和PNS服務(wù)器之間開始，由已經(jīng)安裝好PPTP的PAC建立并管理PPTP任務(wù)。如果PPP客戶端將PPTP添加到它的協(xié)議中，所有列出來的PPTP通信都會在支持PPTP的客戶端上開始與終止。由于所有的通信都將在IP包內(nèi)通過隧道，因此PAC只起著通過PPP連接進因特網(wǎng)的入口點的作用。從技術(shù)上講，PPP包從PPTP隧道的一端傳輸?shù)搅硪欢?，這種隧道對用戶是完全透明的。PPTP具有兩種不同的工作模式，即被動模式和主動模式。被動

5、模式的PPTP會話通過一個一般是位于ISP處的前端處理器發(fā)起，在客戶端不需要安裝任何與PPTP有關(guān)的軟件。在撥號連接到ISP的過程中，ISP為用戶提供所有的相應(yīng)服務(wù)和幫助。被動方式的好處是降低了對客戶的要求，缺點是限制了客戶對因特網(wǎng)其他部分的訪問。主動方式是由客戶建立一個與網(wǎng)絡(luò)另外一端服務(wù)器直接連接的PPTP隧道，這種方式不需要ISP的參與，不再需要位于ISP處的前端處理器，ISP只提供透明的傳輸通道。這種方式的優(yōu)點是客戶擁有對PPTP的絕對控制，缺點是對用戶的要求較高，并需要在客戶端安裝支持PPTP的相應(yīng)軟件。通過PPTP，遠程用戶經(jīng)由因特網(wǎng)訪問企業(yè)的網(wǎng)絡(luò)和應(yīng)用，而不再需要直接撥號至企業(yè)的網(wǎng)

6、絡(luò)。這樣大大的減少了建立和維護專用遠程線路的費用。且為企業(yè)提供了充分的安全保證。另外，PPTP還在IP網(wǎng)絡(luò)中支持IP協(xié)議。PPTP隧道”將IP、IPX、APPLE-TALK等協(xié)議封裝在IP包中，使用戶能夠運行基于特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。同時，“隧道”采用現(xiàn)有的安全檢測和認證策略，還允許管理員和用戶對數(shù)據(jù)進行加密，使數(shù)據(jù)更加安全。PPTP還提供了靈活的IP地址管理。如果企業(yè)專用的網(wǎng)絡(luò)使用未經(jīng)注冊的IP地址，那么PNS將把此地址和企業(yè)專用地址聯(lián)系起來。PPTP協(xié)議是一個為中小企業(yè)提供的VPN解決方案，但PPTP協(xié)議在實現(xiàn)上存在著重大安全隱患。有研究表明其安全性甚至比PPP還要弱，因此不適用于需要一

7、定安全保證的通信。如果條件允許，用戶最好選擇完全能夠替代PPTP的下一代二層協(xié)議L2TP。2、第二層轉(zhuǎn)發(fā)(L2F)L2F由Cisco公司在1998年5月提交給IETF,RFC2341對L2F有詳細的闡述。L2F可以在多種介質(zhì)(如AMT、幀中繼、IP網(wǎng))上建立多協(xié)議的安全虛擬專用網(wǎng)。它將鏈路層的協(xié)議(如HDLC,PPP,ASYNC等)封裝起來傳送。因此,網(wǎng)絡(luò)的鏈路層完全獨立于用戶的鏈路層協(xié)議。L2F遠端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡(luò),首先按常規(guī)方式撥號到ISP的接入服務(wù)器(NAS)，建立PPP連接：NAS根據(jù)用戶名等信息，發(fā)起第二重連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。在這種方式下隧道的建立和配

8、置對用戶是完全透明的。L2F允許撥號接入服務(wù)器發(fā)送PPP幀傳輸并通過WAN連接到達L2F服務(wù)器。L2F服務(wù)器將包去封裝后把它們接入到公司自己的網(wǎng)絡(luò)中。3、二層隧道協(xié)議(L2TP)L2TP協(xié)議的前身是Microsoft公司的點到點隧道協(xié)議(PPTP)和Cisco公司的二層轉(zhuǎn)發(fā)協(xié)議(L2F)。PPTP協(xié)議是一個為中小企業(yè)提供的VPN解決方案。但PPTP協(xié)議在實現(xiàn)上存在著重大安全隱患，有研究表明其安全性甚至比PPP還要弱，因此不適用于需要一定安全保證的通信。L2F協(xié)議是一種安全通信隧道協(xié)議，但它的主要缺陷是沒有把標準加密方法包括在內(nèi)，因此它也已經(jīng)成為一個過時的隧道協(xié)議。IETF的開放標準L2TP協(xié)議

9、結(jié)合了PPTP協(xié)議和L2F的優(yōu)點，特別適合組建遠程接入方式的VPN,已經(jīng)成為事實上的工業(yè)標準。遠程撥號的用戶通過本地PSTN、ISDN或PLMN撥號，利用ISP提供的VPDN特服號，接入ISP在當?shù)氐慕尤敕?wù)器(NAS)NAS通過當?shù)氐腣PDN的管理系統(tǒng)(如認證系統(tǒng))，對用戶身份進行認證，并獲得用戶對應(yīng)的企業(yè)安全網(wǎng)關(guān)(CPE)的隧道屬性(如企業(yè)網(wǎng)關(guān)的IP地址等)。NAS根據(jù)獲得的這些信息,采用適當?shù)乃淼绤f(xié)議封裝上層協(xié),議建立一個位于NAS和LNS(本地網(wǎng)絡(luò)服務(wù)器)之間的虛擬轉(zhuǎn)網(wǎng)。4、多協(xié)議標記交換(MPLS)MPLS為每個IP包加上一個固定長度的標簽，并根據(jù)標簽值轉(zhuǎn)發(fā)數(shù)據(jù)包MPLS實際上就是一

10、種隧道技術(shù)，所以使用它來建立VPN隧道是十分容易的。同時，MPLS是一種完備的網(wǎng)絡(luò)技術(shù)，可以用它來建立起VPN成員之間簡單而高效的VPN。MPLSVPN適用于實現(xiàn)對服務(wù)質(zhì)量、服務(wù)等級的劃分以及網(wǎng)絡(luò)資源的利用率、網(wǎng)絡(luò)的可靠性有較高要求的VPN業(yè)務(wù)。CE路由器是用于將一個用戶站點接入服務(wù)提供者網(wǎng)絡(luò)的用戶邊緣路由器。CE路由器不使用MPLS,它可以只是一臺IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。PE路由器是與用戶CE路由器相連的服務(wù)提供者邊緣路由器。PE實際上就是MPLS中的邊緣標記交換路由器(LER)，它需要能夠支持BGP協(xié)議，一種或幾種IGP路由協(xié)議以及MPLS協(xié)議，需要能夠執(zhí)行

11、IP包檢查、協(xié)議轉(zhuǎn)換等功能。用戶站點是指這樣一組網(wǎng)絡(luò)或子網(wǎng),它們是用戶網(wǎng)絡(luò)的一部分并且通過一條或多條PE/CE鏈路接至VPN。一組共享相同路由信息的站點就構(gòu)成了VPN。一個站點可以同時位于不同的幾個VPN之中。從MPLSVPN網(wǎng)絡(luò)的結(jié)構(gòu)可以看到，與前幾種VPN技術(shù)不同，MPLSVPN網(wǎng)絡(luò)中的主角雖然仍然是邊緣路由器(此時是MPLS網(wǎng)絡(luò)的邊緣LSR)，但是它需要公共IP網(wǎng)內(nèi)部的所有相關(guān)路由都能夠支持MPLS,所以這種技術(shù)對網(wǎng)絡(luò)有較為特殊的要求。5、IP安全（IPSec）IPSec是專門為IP設(shè)計提供安全服務(wù)的一種協(xié)議（其實是一種協(xié)議族）。IPSec可有效保護IP數(shù)據(jù)報的安全，所采取的具體保護形式

12、包括：數(shù)據(jù)源驗證、無連接數(shù)據(jù)的完整性驗證、數(shù)據(jù)內(nèi)容的機密性保護、抗重播保護等。IPSec主要由AH（認證頭）、ESP（封裝安全載荷）、IKE（因特網(wǎng)密鑰交換）三個協(xié)議組成,各協(xié)議之間的關(guān)系如下圖所示IPSc休系結(jié)荀AH為IP數(shù)據(jù)包提供無連接的數(shù)據(jù)完整性和數(shù)據(jù)源身份認證，同時具有防重放攻擊的能力。數(shù)據(jù)完整性校驗通過消息認證碼（如MD5）產(chǎn)生的校驗來保證；數(shù)據(jù)源身份認證通過在待認證數(shù)據(jù)中加入一個共享密鑰來實現(xiàn)；AH報頭中的序列號可以防止重放攻擊。ESP為IP數(shù)據(jù)包提供數(shù)據(jù)的保密性（加密）、無連接的數(shù)據(jù)完整性、數(shù)據(jù)源身份認證以及防重放攻擊保護。其中的數(shù)據(jù)保密性是ESP的基本功能，而數(shù)據(jù)源身份證、數(shù)據(jù)

13、完整性檢驗以及重放保護都是可選的。AH和ESP可以單獨使用，也可以結(jié)合使用，甚至嵌套使用。通過這些組合方式，可以在兩臺主機、兩臺安全網(wǎng)關(guān)（防火墻和路由器），或者主機與安全網(wǎng)關(guān)之間使用。解釋域（DOI）將所有的IPSec協(xié)議捆綁在一起，是IPSec安全參數(shù)的主要數(shù)據(jù)庫。密鑰管理包括IKE協(xié)議和安全聯(lián)盟（SA）等部分。IKE提供密鑰確定、密鑰管理。它在通信系統(tǒng)之間建立安全聯(lián)盟，是一個產(chǎn)生和交換密鑰材料并協(xié)調(diào)IPSec參數(shù)框架。IPSec可以在主機、路由器/防火墻（創(chuàng)建一個安全網(wǎng)關(guān)）或兩者中同時實施和部署。用戶可以根據(jù)對安全服務(wù)的要求決定究竟在什么地方實施。、為實現(xiàn)在專用或公共IP網(wǎng)絡(luò)上的安全傳輸，

14、IPSEC隧道模式使用的安全方式封裝和加密整個IP包。然后對加密的負載再次封裝在明文IP包頭內(nèi)通過網(wǎng)絡(luò)發(fā)送到隧道服務(wù)器端。隧道服務(wù)器對收到的數(shù)據(jù)報進行處理，在去除明文IP包頭，對內(nèi)容進行解密之后，獲的最初的負載IP包。負載IP包在經(jīng)過正常處理之后被路由到位于目標網(wǎng)絡(luò)的目的地。6、通用路由封裝（GRE）通用路由協(xié)議封裝（GRE）是由Cisco和NetSmiths等公司1994年提交給IETF的，標號為RFC1701和RFC1702。目前有多數(shù)廠商的網(wǎng)絡(luò)設(shè)備均支持GER隧道協(xié)議。GER規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法oGER的隧道由兩端的源IP和目的IP來定義，允許用戶使用IP包

15、封裝IP、IPX、AppleTalk包，并支持全部的路由協(xié)議（如RIP2、0SPF等）。通過GER,用戶可以利用公共IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)、AppleTalk網(wǎng)絡(luò)，還可以使用保留地址進行網(wǎng)絡(luò)互聯(lián)，或者對公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。GER只提供了數(shù)據(jù)包的封裝，并沒有加密功能來防止網(wǎng)絡(luò)偵聽和攻擊，所以在實際環(huán)境中經(jīng)常與IPSec在一起使用，由IPSec提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。GER的實施策略以及網(wǎng)絡(luò)結(jié)構(gòu)與IPSec非常相似，只需要網(wǎng)絡(luò)邊緣的接入設(shè)備支持GER協(xié)議即可。GER封裝的格式如下圖。第二層和第三層隧道協(xié)議的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝，其中GRE、IPSec和MPLS主要用于實現(xiàn)專線VPN業(yè)務(wù)，L2TP主要用于實現(xiàn)撥號VPN業(yè)務(wù)（但也可以用于實現(xiàn)專線VPN業(yè)務(wù)），當然這些協(xié)議之間本身不是沖突的，而